?
快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

ag旗艦廳手機版:在Linux下配置基于策略的路由

?

基于策略的路由比傳統路由更強大年夜,應用更機動,它使收集治理者不僅能夠根據目的地址而且能夠根據報文大年夜小、利用或IP源地址來選擇轉發路徑。在現實的收集利用中,這種選擇的自由性照樣很必要的。而Linux從2.1版本的內核開始就實現了對策略路由的支持,下面就先容一個設置設置設備擺設擺設實例,以期對讀者有所贊助。

實例背景

如圖所示,兩個內部網經由過程遠端路由器1與因特網相聯,經由過程遠端路由器2與上級網相聯, Linux辦事器做策略路由器,內有4塊網卡。IP地址的分配環境如表所示。

在利用需求方面,內網1容許經由過程遠端路由器1(172.22.254.254)連接因特網,但只容許Http協議、Ftp協議常常性經由過程,其他協議分光陰段開放(這樣做是為了避免員工在上班光陰打收集游戲和談天),例如在上班光陰(7:30~16:30)封閉,在放工光陰(16:30~7:30)和周六、日全天開放。而且,內網1無權造訪內網2及上級網,但可以造訪內網2上的辦事器。而容許內網2造訪外網,上級網則只能造訪內網2上的192.168.1.2辦事器。而防火墻主要用來阻攔外網主動造訪內網,防止收集進擊。

實現歷程

這里我們選擇Red Hat Enterprise Linux WS 3操作系統,其內核版本是2.4.21,對策略路由已經有了很好的支持,下面的設置設置設備擺設擺設也以此為根基。

1.設置IP地址

首先,履行如下敕令:

ifconfig eth0 ag旗艦廳手機版10.89.9.1 netmask 255.255.255.0

ifconfig eth1 192.168.1.1 netmask 255.255.255.0

ifconfig eth2 172.22.254.14 netmask 255.255.255.0

ifconfig eth3 10.140.133.14 netmask 255.255.255.0

為了讓謀略機啟動時自動設置IP地址,還必要分手改動/etc/sysconfig/network-scripts/下的四個文件:ifcfg-eth0、ifcfg-eth1、ifcfg-eth2、ifcfgag旗艦廳手機版-eth3,將ONBOOT屬性設為yes,即“ONBOOT=yes”,文件款式如下:

# Intel Corp. 82545EM Gigabit Ethernet Controller (Copper)

DEVICE=eth0

BOOTPROTO=none

HWADDR=00:0c:76:20:54:71

ONBOOT=yes

TYPE=Ethernet

USERCTL=yes

2.添加路由

履行如下敕令:

ip route add default via 10.89.9.1 table int1

ip route add default via 192.168.1.1 table int2

ip route add default via 172.22.254.254 table int3

ip route add 192.168.0.0/16 via 10.140.133.254 table int4

ip route add default via 172.22.254.254 table int4

這里在int4路由表中添加了兩條路由,當進入到該路由表之后,要到192.168.0.0/16的數據包則路由到10.140.133.254,其他數據包則路由到172.22.254.254。

3.標記(MARK)特殊包

履行如下兩條敕令:

iptables -t mangle -A PREROUTING -p tcp -m multiport --dports 80,8080,2ag旗艦廳手機版0,21 -s 10.89.9.0/24 -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -p udp --dport 53 -s 10.89.9.0/24 -j MARK --set-marag旗艦廳手機版k 2

這兩條敕令是將來自10.89.9.0/24的目的端口是80、8080、20或21的數據包和UDP端口是53的數據包分手標記為1或2,然后就可以針對這些標ag旗艦廳手機版記過的數據包擬訂響應的規則了。(對外發出的DNS哀求用的是UDP 53端口)

為了實現防火墻的功能,只容許已經建立聯機的數據包進入內網,就要把進入兩個內網的已經建立聯機的數據包進行標記。履行如下敕令:

iptables -t mangle -A PREROUTING -p ALL -d 10.89.9.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -p ALL -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 4

免責聲明:以上內容源自網絡,版權歸原作者所有,如有侵犯您的原創版權請告知,我們將盡快刪除相關內容。

您可能還會對下面的文章感興趣:

快三平台开户